VPN配置实践专题.docx
《VPN配置实践专题.docx》由会员分享,可在线阅读,更多相关《VPN配置实践专题.docx(29页珍藏版)》请在冰豆网上搜索。
VPN配置实践专题
VPN专题
IPSecVPN专题一:
Site-to-StieVPN
环境:
R1/R2/R3:
运行IGP:
RIP
需求:
1:
PC1到PC2的流量通过IPSec加密传输:
2:
如果在R2:
denyipanyany:
那么R2在这之上应该放行哪些流量,才不会影响IPSecVPN的建立:
3:
如果在R1(加密点)上Denyipanyany:
此时R1需要放行哪些流量:
IPSecVPN才能正常建立:
步骤:
1:
R1/R2/R3:
配置路由:
确保链路的可达性:
2:
配置IPSecVPN的Parse1:
==>R1:
R1(config)#access-list101permitiphost192.168.1.10host192.168.2.10 :
定义感兴趣流量
R1(config)#cryptoisakmppolicy10 :
定义ISAKMP的策略:
指定认证/加密类型
R1(config-isakmp)#authenticationpre-share
R1(config-isakmp)#encryptiondes
R1(config-isakmp)#group2
R1(config-isakmp)#hashmd5
R1(config-isakmp)#lifetime1000
R1(config-isakmp)#exit
R1(config)#cryptoisakmpkey6ciscoadd2.2.2.3 :
指定Pre-shared-key:
==>R3:
R3(config)#access-list101permitiphost192.168.2.10host192.168.1.10
R3(config)#cryptoisakmppolicy10
R3(config-isakmp)#authenpre
R3(config-isakmp)#encrydes
R3(config-isakmp)#group2
R3(config-isakmp)#hashmd5
R3(config-isakmp)#lifetime1000
R3(config-isakmp)#exit
R3(config)#cryptoisakmpkey6ciscoadd1.1.1.1
3:
配置IPSecVPN的Parse2:
R1(config)#cryptoipsectransform-setTSesp-desesp-md5-hmac :
定义Transform-set:
指定IPSec的封装类型和传输模式
R1(cfg-crypto-trans)#modetunnel
R1(config)#cryptomapMYMAP10ipsec-isakmp :
定义加密映射:
指定IPSecVPN的各种参数
%NOTE:
Thisnewcryptomapwillremaindisableduntilapeerandavalidaccesslisthavebeenconfigured. :
提示:
指明需要感兴趣流量
R1(config-crypto-map)#setpeer2.2.2.3
R1(config-crypto-map)#matchadd101
R1(config-crypto-map)#settransform-setTS
R1(config-crypto-map)#exit
R1(config)#intf0/0
R1(config-if)#cryptomapMYMAP :
接口下调用crypto-map
R1(config-if)#end
R1#
*Mar1116:
34:
12.939:
%CRYPTO-6-ISAKMP_ON_OFF:
ISAKMPisON :
提示接口上已经启用ISAKMP:
R3(config)#cryptoipsectransform-setTSesp-desesp-md5-hmac
R3(cfg-crypto-trans)#modetunnel
R3(config)#cryptomapMYMAP10ipsec-isakmp
R3(config-crypto-map)#setpeer1.1.1.1
R3(config-crypto-map)#settransform-setTS
R3(config-crypto-map)#matchadd101
R3(config-crypto-map)#exit
R3(config)#intf1/0
R3(config-if)#cryptomapMYMAP
R3(config-if)#END
4:
PC1PINGPC2发包测试:
IPSecVPN必须要有感兴趣流量进行触发:
R1#ping192.168.2.10source192.168.1.10repeat5 !
!
!
!
!
5:
如果R2上对数据流做了限制:
此时我们应该放行哪些流量:
才不至于对IPSecVPN造成影响:
R2(config)#ipaccess-listextendedIPSEC
R2(config-ext-nacl)#permitudphost2.2.2.3host1.1.1.1eq500 :
放行UDP:
500D的流量:
用于ISAKMP的协商
R2(config-ext-nacl)#permitesphost2.2.2.3host1.1.1.1 :
放行ESP的加密数据:
查看IP的协议字段:
51:
R2(config-ext-nacl)#denyipanyany
==>如果不放行UDP:
500,那么R1/R3的IPSecVPN将协商失败:
*Mar1117:
20:
54.643:
ISAKMP0:
0:
N/A:
0):
beginningMainModeexchange
*Mar1117:
20:
54.647:
ISAKMP0:
0:
N/A:
0):
sendingpacketto2.2.2.3my_port500peer_port500(I)MM_NO_STATE.....
注意:
由于路由器接收不到回包,将停留在Phrase1的第一个Message:
==>如果只放行UDP:
500那么IKE/IPSecSA是可以协商建立的:
R1#showcryptoengineconnectionsactive
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet0/0 1.1.1.1 set HMAC_MD5+DES_56_CB 0 0
2001 FastEthernet0/0 1.1.1.1 set DES+MD5 8 0
2002 FastEthernet0/0 1.1.1.1 set DES+MD5 0 0
注意:
此时R1/R3:
的IPSecVPN已经成功协商建立:
通过查看IPSecSA的概要信息:
发现加解密的数据包是不一样的,99%的原因是路由问题(包括ACL造成的链路连通性)
6:
如果在R1(加密点)上Denyipanyany:
此时R1需要放行哪些流量:
IPSecVPN才能正常建立:
由5可知ISAKMP/ESP这两种协议是必须的放的:
那是否还需要放行其他的协议呢?
R1(config)#ipaccess-listextendedIPSec
R1(config-ext-nacl)#10permitesphost2.2.2.3host1.1.1.1
R1(config-ext-nacl)#20permitudphost2.2.2.3host1.1.1.1eqisakmp
R1(config-ext-nacl)#30denyipanyany
经过实验和询问得知:
12.4以前,必须放行解密后的流量:
R1(config)#ipaccess-listextendedIPSec
R1(config-ext-nacl)#permithost192.168.2.10host192.168.1.10
12.4以后,是不需要放行解密后的流量:
链路两端就是通的
IPSecVPN专题二:
Dynamicmap
环境:
1:
R1为固定公网IP地址
2:
R3为拨号上网:
获得的动态的公网IP
需求:
R1和R3之间如何建立IPSecVPN:
涉及知识点:
1
ynamicMap(条件必须有一方是静态的IP地址)
2
eer的指定:
步骤:
1:
R3上的IPSec配置:
==>R3上Phase1配置:
R3(config)#cryptoisakmppolicy10
R3(config-isakmp)#authenticationpre-shared
R3(config-isakmp)#encrydes
R3(config-isakmp)#hashmd5
R3(config-isakmp)#group2
R3(config-isakmp)#lifetime3600
R3(config-isakmp)#exit
R3(config)#cryptoisakmpkeyciscoadd1.1.1.1
==>R3上Phase2配置:
R3(config)#cryptoipsectransform-setTSesp-desesp-md5-hmac
R3(cfg-crypto-trans)#modetunnel
R3(cfg-crypto-trans)#exit
R3(config)#cryptomapMYMAP10ipsec-isakmp
R3(config-crypto-map)#setpeer1.1.1.1
R3(config-crypto-map)#settransform-setTS
R3(config-crypto-map)#matchaddress110
R3(config-crypto-map)#exit
R3(config)#access-list110p